L'exchange di criptovalute in difficoltà è stato violato il 12 novembre, poche ore dopo aver dichiarato bancarotta volontaria ai sensi del Capitolo 11. Il CEO di FTX John J. Ray III ha affermato in un documento datato 17 novembre che un dent identificato ha trasferito almeno 372 milioni di dollari da FTX a un portafoglio esterno.
Sul canale Telegram ufficiale di FTX, un amministratore di nome Rey ha pubblicato: "Tutti i fondi sembrano essere finiti".
In reazione all'hacking, i fondi hanno iniziato a lasciare FTX attraverso un secondo portafoglio collegato a un conto verificato "conosci il tuo cliente" sull'exchange di criptovalute Kraken.
Sam Bankman-Fried, ex CEO di FTX, gestiva questo portafoglio e trasferiva fondi su richiesta dell'autorità di regolamentazione per "proteggere gli interessi di clienti e creditori", secondo un successivo documento della Securities Commission delle Bahamas. Ciò ha impedito al primo hacker di rubare fondi per un valore stimato di 200 milioni di dollari.
Tecnica sfruttatore FTX
Il primo portafoglio, ritenuto essere un cosiddetto hacker "black hat" che agisce in modo dannoso, ha iniziato a convertire le risorse rubate in Ethereum , la stablecoin DAI di MakerDAO e BNB Chain, trasferendo contemporaneamente fondi attraverso una serie di ponti di token cross-chain mentre questo stava accadendo. Probabilmente l'aggressore lo ha fatto per evitare il congelamento dei guadagni illegali.
Sconosciuti a molti, le stablecoin come USDC e USDT includono meccanismi di blocco e lista nera incorporati che consentono ai rispettivi emittenti di interrompere le transazioni e sequestrare cash .
L'hacker ha perso migliaia di dollari a causa di un significativo slittamento derivante dallo scambio rapido di grandi quantità di token perché la velocità era essenziale. Questo aspetto da solo suggerisce che questo portafoglio probabilmente non è nella giurisdizione delle autorità delle Bahamas, che cercherebbero di proteggere i beni per il bene dei creditori di FTX. Solo un cattivo operatore lascerebbe intenzionalmente scadere gli accordi per evitare il sequestro dei beni.
Prima di inviare il denaro all'exchange Huobi, l'hacker ha anche inviato 3.168 BNB su un conto collegato a un piccolo exchange di criptovalute russo chiamato Laslobit. Per quanto riguarda il tesoro rimanente, il 20 novembre, l'hacker ha iniziato a scambiare ETH con renBTC avvolto e a trasmetterlo attraverso il ponte Ren alla Bitcoin dopo essere rimasto inattivo per alcuni giorni.
Successivamente, l’hacker utilizzerà probabilmente un servizio di mixaggio Bitcoin per recidere la catena di custodia del fondo. Inoltre, l'hacker ha iniziato a vendere ETH, il che ha portato a un calo del valore della seconda criptovaluta. Il 21 novembre, hanno iniziato a spostare ulteriori ETH in lotti di 15.000 token, il che ha sollevato preoccupazioni sul fatto che potessero prepararsi a vendere un'altra parte della loro scorta.
Nuova svolta nell'hacker FTX
Secondo un documento del tribunale del 17 novembre, originariamente era stato affermato che Bankman-Fried, che agiva per conto del governo delle Bahamas, era l'hacker originale di FTX. Tuttavia, dati più estesi sulla catena e suggerimenti forniti nei documenti giudiziari di John J. Ray III e funzionari delle Bahamas hanno messo in discussione questa teoria.
Ora sembra che il secondo indirizzo stesse effettivamente inviando fondi da FTX per salvaguardare le risorse rimanenti dell'exchange. È importante notare che questi due portafogli si comportano in modi notevolmente distinti. Il secondo portafoglio ha semplicemente spostato i token su un portafoglio multi-firma, mentre il primo portafoglio ha iniziato a scambiare, collegare e riciclare risorse.
Non è ancora chiaro esattamente come sia stato violato FTX. Alcuni hanno ipotizzato che l'hacker potesse essere un ex dipendente scontento che aveva accesso ai conti di FTX in base ai tempi dell'attacco immediatamente successivi al fallimento dell'azienda.
Tuttavia, è anche possibile che qualcuno estraneo a FTX abbia sfruttato l'instabilità dell'azienda per lanciare un attacco. Potrebbero averlo fatto inducendo il personale a leggere e-mail contenenti malware mentre erano confusi riguardo al fallimento dell'azienda. Questo metodo è stato utilizzato in precedenti attacchi di alto profilo attribuiti al gruppo di hacker Lazarus Group, sponsorizzato dallo stato nordcoreano.
Maggiori dettagli su come l'exchange è stato violato e su chi è la colpa probabilmente emergeranno man mano che si svilupperà il caso di fallimento di FTX.
